Эксперты выявили новый способ хищения средств со счетов клиентов банков через Систему быстрых платежей (СБП).

Как сообщает «Коммерсант» [2] со ссылкой на бюллетень подразделения Центробанка ФинЦЕРТ, при подключении функции переводов по СБП в мобильном банке одной из кредитных организаций была оставлена уязвимость, благодаря которой мошенники смогли воспользоваться этой ошибкой и получить данные счетов клиентов.

Далее злоумышленники запустили мобильный банк в режиме отладки, авторизовавшись как реальные клиенты, и отправили запрос на перевод средств в другой банк, а вместо своего счета для списания указали номер счета другого клиента. Поскольку система не проверяет принадлежность счета, она списала деньги и перевела их мошенникам.

Отмечается, что это первый случай хищения средств с помощью СБП, а об уязвимости могли знать лица только хорошо знакомые с приложением (сотрудник или разработчик).

В ЦБ подчеркнули, что проблему обнаружили в мобильном приложении только одной кредитной организации и оперативно устранили. В программном обеспечении самой системы проблемы не найдены.